image

Nieuwe certificaatcontrole aan Mozilla Firefox toegevoegd

donderdag 21 augustus 2014, 13:24 door Redactie, 11 reacties

Een aantal weken geleden heeft Mozilla aan Firefox een nieuwe controle van SSL-certificaten toegevoegd, die daarmee het vorige mechanisme vervangt dat jaren werd gebruikt. De nieuwe "certificate verification library" is van de grond af opgebouwd en heet "mozilla::pkix".

Naast het gebruik van veiligere programmeermethoden bij de ontwikkeling van de library, heeft Mozilla de gelegenheid ook aangegrepen om zich aan de specificatie voor het verifiëren van X.509 certificaten te houden. Zo zijn er maatregelen genomen die moeten voorkomen dat certificaten op bepaalde manieren kunnen worden misbruikt, terwijl dit bij oude certificaatcontroles niet werd tegengehouden.

De nieuwe controle kan er daarnaast voor zorgen dat sommige certificaten, die niet door certificaatautoriteiten (CA) in het Mozilla Root CA-programma zijn uitgegeven, niet meer op dezelfde manier werken. Mozilla zegt dat het nog bezig is om te kijken hoe het voor deze certificaten de juiste balans tussen security en bruikbaarheid kan vinden.

Reacties (11)
21-08-2014, 14:44 door Anoniem
Is dit misschien de reden dat ik sinds gisteravond bij het inloggen van de ABNAMRO iedere keer wordt gevraagd via een popup, om de cookies te accepteren, terwijl deze al sinds heugenis op deze website zijn geaccepteerd.
21-08-2014, 17:31 door Anoniem
Denk niet dat een update van "Een aantal weken geleden..." gisteravond 'aan't' werk ging. Tenzij deze update gister door jou is geinstallerd... mvgr WTB
21-08-2014, 21:11 door [Account Verwijderd] - Bijgewerkt: 22-08-2014, 19:35
Door Anoniem 21-08-2014 14:44: Is dit misschien de reden dat ik sinds gisteravond bij het inloggen van de ABNAMRO iedere keer wordt gevraagd via een popup, om de cookies te accepteren, terwijl deze al sinds heugenis op deze website zijn geaccepteerd.

Je zou eens kunnen kijken of staat ingesteld dat bij het afsluiten van Firefox de cookies worden verwijderd.
22-08-2014, 00:00 door [Account Verwijderd]
[Verwijderd]
22-08-2014, 07:47 door VriendP - Bijgewerkt: 22-08-2014, 07:47
Het zou ook wel lekker zijn als firefox ondersteuning zou bieden voor de root ca's in windows. Daarmee wordt uitrollen van root ca certificates in een bedrijfsnetwerk makkelijker en krijgt het product ook wat meer zakelijk draagvlak.Nu is het meer een hobby browser.
22-08-2014, 08:49 door Anoniem
Door VriendP: Het zou ook wel lekker zijn als firefox ondersteuning zou bieden voor de root ca's in windows. Daarmee wordt uitrollen van root ca certificates in een bedrijfsnetwerk makkelijker en krijgt het product ook wat meer zakelijk draagvlak.Nu is het meer een hobby browser.
Afhankelijk van hoe je Firefox deployt in je bedrijf kun je er ook voor zorgen dat de certificaten in het package van Firefox zijn opgenomen. Dit kan bijvoorbeeld met CCK2.
22-08-2014, 09:20 door Anoniem
Door Serleena: als je via de adresbalk 'about:config' aanroept, dan naar de regel 'security.use_mozillapkix_verification' gaat en die van true naar false zet dan gaat firefox er weer op de oude manier mee om. Ik had het met een http .nl site die automatisch doorging naar de https .com versie waar ik een melding over OCSP en invalid certificate kreeg.
Na terug te zijn gegaan naar de oude manier werkte het wel gewoon op de nl site en werd ik ook niet doorgestuurd naar de .com site.

Handig om te weten :-)

Merkwaardig advies :

Security maatregelen terugdraaien in de about:config standaard settings !?!
Dat geldt dan voor alle websites die je vanaf dat moment bezoekt, alleen omdat één site niet naar wens functioneerde.

Zou het ook een overweging kunnen zijn die ene site dan met een andere (tweede) browser te bezoeken in plaats van de door mozilla verbeterde standaard certificaat websecurity te gaan verlagen / uit te schakelen?

Handig voor troubles!
Of zie ik dat helemaal verkeerd?
22-08-2014, 15:16 door Coyote76
Door Serleena: als je via de adresbalk 'about:config' aanroept, dan naar de regel 'security.use_mozillapkix_verification' gaat en die van true naar false zet dan gaat firefox er weer op de oude manier mee om. Ik had het met een http .nl site die automatisch doorging naar de https .com versie waar ik een melding over OCSP en invalid certificate kreeg.
Na terug te zijn gegaan naar de oude manier werkte het wel gewoon op de nl site en werd ik ook niet doorgestuurd naar de .com site.

Handig om te weten :-)

@Serleena
Veel beter is om dit probleem te melden bij https://bugzilla.mozilla.org/, onder de afdeling Security PSM.
Ik wil dat ook wel doen als je me informatie geeft hoe dit probleem te reproduceren is.
22-08-2014, 22:34 door [Account Verwijderd]
[Verwijderd]
24-08-2014, 21:25 door Erik van Straten - Bijgewerkt: 24-08-2014, 21:37
Door Serleena: In het ene tabblad zet je die setting terug naar het oude, in het andere tabblad even naar de site die je wilt bezoeken. Bezocht en dan weer de setting naar het nieuwe zetten. Dat is mijn voorkeur tov gebruiken van iexplore oid.

Om te reproduceren.... bandolera .nl
en dan ga je dus naar de https .com versie

Tot zover gevonden dat het met CA's en zelf gesigneerde SSL certificaten te maken heeft.
Sorry voor de late reactie, ik was er even tussenuit :)

Zojuist gecheckt: ongeacht of de about:config instelling van 'security.use_mozillapkix_verification' op true of op false staat in Firefox 3.1, als ik als URL bandolera.nl intik, word ik naar https://www.bandolera.com/ gestuurd.

De reden dat er een OCSP foutmelding volgt komt door een fout van de beheerders van Bandolera. Er wordt namelijk "OCSP-stapling" informatie meegestuurd die aangemaakt is op 2014-02-18 en geldig is tot 2014-02-25. Daarbij wordt een OCSP-signing certificaat meegestuurd dat geldig is t/m 2014-04-06. Met de instelling 'security.use_mozillapkix_verification=true' voert Firefox vervolgens geen "normale" online OCSP check uit (door te communiceren met http://ocsp.thawte.com/) en toont meteen de OCSP foutmelding die jij kreeg en ik ook zag.

Met 'security.use_mozillapkix_verification=false' is het me niet duidelijk of Firefox de "OCSP stapling" check geheel niet uitvoert en meteen overgaat tot een online OCSP check, of de "OCSP stapling" wel uitvoert en na de fout alsnog besluit een online check uit te voeren. In elk geval zie ik in Wireshark dat met de instelling 'security.use_mozillapkix_verification=false' er wel een online OCSP check wordt uitgevoerd, en niet met de instelling 'security.use_mozillapkix_verification=true'.

Om wat ik schrijf te controleren kun je ook 'security.ssl.enable_ocsp_stapling=false' instellen (met 'security.use_mozillapkix_verification=true'): daarmee krijg ik verbinding (zonder OCSP foutmelding) met https://www.bandolera.com/.

IBM domino servers zijn met FF 31 ook niet te benaderen.....
Ik heb geen idee wat daar de oorzaak van is.
27-08-2014, 14:40 door Coyote76
Inmiddels is vanuit Mozilla de website gewezen op de fout. Bandolera heeft inmiddels de site aangepast en werkt deze dus weer gewoon met Firefox 31 met de nieuwe pkix-verificatie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.